Ситуация такая: Есть маршрутизатор Cisco 1760 к одному порту подклучена сеть, другой смотри в инет. Пользователь из инета создаёт VPDN соединение через pptp, тем самым получая доступ ко внутренней сети. Неавторизированный юзер не может вообще ничего сделать. Никакого дополнительного оборудования нет.
Обращение к знатокам: Что ещё можно сделать полезного для безопасности соединения? И что из того, что есть лишнее?Собственно, конфиг вот:
version 12.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service sequence-numbers
!
hostname Router
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
logging buffered 51200 debugging
logging console critical
enable secret 5 $1$YCRG$K.PDMs/RkkM4lbDoeNmzX/
!
username user password 7 1543595F
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
aaa new-model
!
!
aaa authentication login authen local
aaa authorization exec author local
aaa session-id common
ip subnet-zero
no ip source-route
ip cef
!
!
ip tcp synwait-time 10
!
no ip bootp server
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
no ftp-server write-enable
!
!
!
!
interface Ethernet0/0
ip address xx.xx.xx.xx xx.xx.xx.xx
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
half-duplex
!
interface FastEthernet0/0
ip address xx.xx.xx.xx xx.xx.xx.xx
speed auto
!
interface Virtual-Template1
ip unnumbered FastEthernet0/0
ip mtu 1492
peer default ip address pool ip_pool
ppp authentication chap ms-chap ms-chap-v2
!
ip local pool ip_pool xx.xx.xx.xx
ip classless
no ip http server
!
access-list 101 permit tcp any any eq 1723 log-input
access-list 101 permit gre any any
access-list 101 deny tcp any any
no cdp run
!
line con 0
login authentication authen
line aux 0
login authentication authen
line vty 0 4
login authentication authen
!
!
endЗаранее благодарен!
Включите mppe, хотя бы с 40 битным шифрованием (лучше, конечно, l2tp over IPSec).
Можете поднять радиус и проводит авторизацию им (чаще всего так безопаснее) В любом случае используйте username user secret вместо username user pass
Не нашел, где вы используете свой acl 101 (похоже вы его забыли применить).
ip mtu 1492 обычно используется для pppoe. В PPTP, если не ошибаюсь, mtu 1460.
>Можете поднять радиус и проводит авторизацию им (чаще всего так безопаснее)Не получится, доп. оборудование исключено.
>В любом случае используйте username user secret вместо username user pass
Попробуемс.
>Не нашел, где вы используете свой acl 101 (похоже вы его забыли
>применить).Не забыл, просто, когда скидывал конфиг, пришлось его вырубить, а потом дописать забыл. =)
ACL на Fa0/0 на in.
>Включите mppe, хотя бы с 40 битным шифрованием (лучше, конечно, l2tp over
>IPSec).
>Можете поднять радиус и проводит авторизацию им (чаще всего так безопаснее) В
>любом случае используйте username user secret вместо username user pass
>Не нашел, где вы используете свой acl 101 (похоже вы его забыли
>применить).
>ip mtu 1492 обычно используется для pppoe. В PPTP, если не ошибаюсь,
>mtu 1460.не получиться. работать будет только username password
>>Включите mppe, хотя бы с 40 битным шифрованием (лучше, конечно, l2tp over
>>IPSec).
>>Можете поднять радиус и проводит авторизацию им (чаще всего так безопаснее) В
>>любом случае используйте username user secret вместо username user pass
>>Не нашел, где вы используете свой acl 101 (похоже вы его забыли
>>применить).
>>ip mtu 1492 обычно используется для pppoe. В PPTP, если не ошибаюсь,
>>mtu 1460.
>
>не получиться. работать будет только username passwordИспользуйте аутентификацию по токенам )
>Используйте аутентификацию по токенам )Дмитрий, сказал же, доп. оборудование исключено. =)